Technische Probleme beim LinkCrypter Relink.to: Im Forum Nulled.to tauchte im Juni diesen Jahres eine umfangreiche Liste mit E-Mail-Adressen und Passwörtern unzähliger Nutzer dieses Warez-Dienstleisters auf. Der Leak blieb hierzulande unbemerkt. Der Hacker mit Namen “UnPirlaACaso” antwortete uns, dass es ihm im Mai 2018 gelang, mithilfe einer SQL-Injection eine Schwachstelle dieses Dienstleisters auszunutzen. Die Betreiber von Relink.to haben auf unsere Anfrage bisher nicht reagiert.
“Un pirla a caso” könnte man mit viel Fantasie mit “Eine Perle für alle Fälle” übersetzen. Tatsache ist, dass der gleichnamige Hacker im Sommer 2018 beim Forum Nulled.to Auszüge einer Datenbank veröffentlicht hat. Der Thread nulled.to/topic/468586-relinkto-database-dump-plaintext führt zum Sharehoster MEGA, der seinen Besuchern unter der URL mega.nz/#!gfgjRSKZ!lMxACG8FztcLX_zcTrt09J_1aQovlkoDHE0OsgYlz4c eine Textdatei mit 64 kB an Daten zum Download bereithält.
Auf meine Anfrage bezüglich des Ursprungs der Daten antwortete mir UnPirlaACaso:
Erpresser-Mails: Trittbrettfahrer aufgesprungen, um fast 15.000 EUR zu kassieren?
Bei uns tauchte der Link zur Textdatei, die bei MEGA hinterlegt wurde, am 20. Oktober 2018 auf. Einen Tag zuvor beschwerten sich mehrere Uploader im deutschsprachigen Board SzeneBox.org, dass sie Erpresser-Mails erhalten haben. In der E-Mail mit falschem Header und Absender wird den Relink.to-Nutzern ihr korrektes Passwort mitgeteilt. Der anonyme Erpresser behauptet in der Mail, er habe neben dem Relink-Account alle Zugänge nebst zahlreichen Daten der PCs der Angeschriebenen erbeutet. Er würde diese verbreiten, sofern man nicht bereit wäre, ihm 878 US-Dollar an sein Bitcoin-Wallet mit der Adresse 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY zu transferieren. Ob diese Erpressungsversuche etwas mit der Aktion von “UnPirlaACaso” zu tun haben, ist völlig offen. Wahrscheinlich hat jemand die Zeichen der Zeit erkannt und versucht Kapital aus dem uralten Leak zu schlagen. Bisher wohl mit Erfolg, wenn keine andersartigen Transfers stattgefunden haben, sind beim Wallet des Erpressers 2.66054445 BTC im aktuellen Wert von derzeit 14.850 Euro eingetrudelt. In der Szenebox wurde bestätigt, dass die Passwörter jeweils nur für Relink.to verwendet wurden. Das richtige Passwort war Teil dieser geleakten Datenbank.
Relink.to nur per Abuse-Mail für Statement erreichbar
Wir wollten am gestrigen Sonntag eigentlich systematisch bei Relink.to per Skript alle E-Mail-Adressen in Kombination mit den Passwörtern durchprobieren, bis uns auch per Twitter von einer vertrauenswürdigen Quelle bestätigt wurde, dass die Daten zwar etwas älter, aber echt sein sollen. Die Webseite von Relink.to war gestern für einige Stunden nicht erreichbar, weswegen wir keine Tests durchführen konnten. Dort erschien am Abend lediglich die Fehlermeldung “Could not connect”. Wir probieren aber unser Glück heute Abend erneut.
Irgendwie macht es den Anschein, als wenn die Relink-Betreiber gar nicht kontaktiert werden wollen. Wir haben uns vergangenen Samstag per E-Mail an die einzig angegebene E-Mail-Adresse abuse@relink.us gewendet, es kam aber keine Antwort auf die Presseanfrage. Kontaktmöglichkeiten per Formular, ICQ oder JID hat man schlichtweg nicht eingerichtet. Zugegeben: Einfach kein Kontaktformular zu implementieren, ist eine effektive Option, sich viel Zeit zu sparen. In letzter Zeit sollen sich angeblich die Beschwerden über Relink.to gehäuft haben, da hätte man mit der Bearbeitung der eingehenden Nachrichten viel zu tun gehabt.
Erpresser-Mail, die Jana-Maria erhalten hat. Quelle: SzeneBox.org, thx!
Dringend alle Passwörter ändern!
Fazit: Wie es um die Auszahlungen von Relink.to steht, können wir nicht beurteilen. Wer aber seine Passwörter mehrfach verwendet haben sollte und diese noch immer woanders gültig sind, muss sie sofort ändern! Die Erpresser-Mails sollte man einfach ignorieren, Relink.to dürfte sowieso alle Passwörter zurückgesetzt haben, um sich abzusichern.
Wie dem auch sei. Auf die Nutzer dieses FileCrypters warten noch so manche Erpresser-Mails. Der Geruch des Geldes lockt. Wenn es einmal gelang, ohne großen Aufwand in derart kurzer Zeit, so viel BTC-Guthaben zu generieren, so wird dies sicherlich weitere Trittbrettfahrer anziehen, die auch ein Stück vom Kuchen abhaben wollen. Jana-Maria berichtet in der Szenebox, sie bzw. er habe bereits mehrere E-Mails mit ähnlich klingendem Inhalt erhalten. Teilweise waren diese im ihrem Spam-Ordner gelandet (siehe Screenshot oben).
Quelle; tarnkappe
“Un pirla a caso” könnte man mit viel Fantasie mit “Eine Perle für alle Fälle” übersetzen. Tatsache ist, dass der gleichnamige Hacker im Sommer 2018 beim Forum Nulled.to Auszüge einer Datenbank veröffentlicht hat. Der Thread nulled.to/topic/468586-relinkto-database-dump-plaintext führt zum Sharehoster MEGA, der seinen Besuchern unter der URL mega.nz/#!gfgjRSKZ!lMxACG8FztcLX_zcTrt09J_1aQovlkoDHE0OsgYlz4c eine Textdatei mit 64 kB an Daten zum Download bereithält.
Auf meine Anfrage bezüglich des Ursprungs der Daten antwortete mir UnPirlaACaso:
“The database of re-link was vulnerable to sql injection, as simple as that.
The breach happened around during May 2018, I don’t remember exactly when. They never mentioned the breach as far as I know. About the password reset for their user I don’t know if they did it or nah, I just dumped it and didn’t care anymore.”
The breach happened around during May 2018, I don’t remember exactly when. They never mentioned the breach as far as I know. About the password reset for their user I don’t know if they did it or nah, I just dumped it and didn’t care anymore.”
Erpresser-Mails: Trittbrettfahrer aufgesprungen, um fast 15.000 EUR zu kassieren?
Bei uns tauchte der Link zur Textdatei, die bei MEGA hinterlegt wurde, am 20. Oktober 2018 auf. Einen Tag zuvor beschwerten sich mehrere Uploader im deutschsprachigen Board SzeneBox.org, dass sie Erpresser-Mails erhalten haben. In der E-Mail mit falschem Header und Absender wird den Relink.to-Nutzern ihr korrektes Passwort mitgeteilt. Der anonyme Erpresser behauptet in der Mail, er habe neben dem Relink-Account alle Zugänge nebst zahlreichen Daten der PCs der Angeschriebenen erbeutet. Er würde diese verbreiten, sofern man nicht bereit wäre, ihm 878 US-Dollar an sein Bitcoin-Wallet mit der Adresse 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY zu transferieren. Ob diese Erpressungsversuche etwas mit der Aktion von “UnPirlaACaso” zu tun haben, ist völlig offen. Wahrscheinlich hat jemand die Zeichen der Zeit erkannt und versucht Kapital aus dem uralten Leak zu schlagen. Bisher wohl mit Erfolg, wenn keine andersartigen Transfers stattgefunden haben, sind beim Wallet des Erpressers 2.66054445 BTC im aktuellen Wert von derzeit 14.850 Euro eingetrudelt. In der Szenebox wurde bestätigt, dass die Passwörter jeweils nur für Relink.to verwendet wurden. Das richtige Passwort war Teil dieser geleakten Datenbank.
Relink.to nur per Abuse-Mail für Statement erreichbar
Du musst angemeldet sein, um Bilder zu sehen.
Wir wollten am gestrigen Sonntag eigentlich systematisch bei Relink.to per Skript alle E-Mail-Adressen in Kombination mit den Passwörtern durchprobieren, bis uns auch per Twitter von einer vertrauenswürdigen Quelle bestätigt wurde, dass die Daten zwar etwas älter, aber echt sein sollen. Die Webseite von Relink.to war gestern für einige Stunden nicht erreichbar, weswegen wir keine Tests durchführen konnten. Dort erschien am Abend lediglich die Fehlermeldung “Could not connect”. Wir probieren aber unser Glück heute Abend erneut.
Irgendwie macht es den Anschein, als wenn die Relink-Betreiber gar nicht kontaktiert werden wollen. Wir haben uns vergangenen Samstag per E-Mail an die einzig angegebene E-Mail-Adresse abuse@relink.us gewendet, es kam aber keine Antwort auf die Presseanfrage. Kontaktmöglichkeiten per Formular, ICQ oder JID hat man schlichtweg nicht eingerichtet. Zugegeben: Einfach kein Kontaktformular zu implementieren, ist eine effektive Option, sich viel Zeit zu sparen. In letzter Zeit sollen sich angeblich die Beschwerden über Relink.to gehäuft haben, da hätte man mit der Bearbeitung der eingehenden Nachrichten viel zu tun gehabt.
Du musst angemeldet sein, um Bilder zu sehen.
Erpresser-Mail, die Jana-Maria erhalten hat. Quelle: SzeneBox.org, thx!
Dringend alle Passwörter ändern!
Fazit: Wie es um die Auszahlungen von Relink.to steht, können wir nicht beurteilen. Wer aber seine Passwörter mehrfach verwendet haben sollte und diese noch immer woanders gültig sind, muss sie sofort ändern! Die Erpresser-Mails sollte man einfach ignorieren, Relink.to dürfte sowieso alle Passwörter zurückgesetzt haben, um sich abzusichern.
Wie dem auch sei. Auf die Nutzer dieses FileCrypters warten noch so manche Erpresser-Mails. Der Geruch des Geldes lockt. Wenn es einmal gelang, ohne großen Aufwand in derart kurzer Zeit, so viel BTC-Guthaben zu generieren, so wird dies sicherlich weitere Trittbrettfahrer anziehen, die auch ein Stück vom Kuchen abhaben wollen. Jana-Maria berichtet in der Szenebox, sie bzw. er habe bereits mehrere E-Mails mit ähnlich klingendem Inhalt erhalten. Teilweise waren diese im ihrem Spam-Ordner gelandet (siehe Screenshot oben).
Quelle; tarnkappe